«Тинькофф» запустил публичную программу по поиску ошибок и уязвимостей в своих сервисах за вознаграждение на платформе BI.ZONE Bug Bounty, сообщили Хабру в пресс-службе BI.ZONE. В программе могут участвовать любые исследователи безопасности из России и стран ЕАЭС. «Тинькофф» — единственный банк в России, в открытом формате привлекающий «белых хакеров» для повышения защищённости своих сервисов.
В рамках программы bug bounty «белые хакеры» будут искать пробелы в безопасности на сайтах и в мобильных приложениях основных направлений бизнеса и сервисов «Тинькофф Банка», «Тинькофф Инвестиций», «Тинькофф Бизнеса», «Тинькофф Страхования» и других.
В области действия программы только технические уязвимости. При этом размер вознаграждения зависит от критичности как самой уязвимости, так и системы, в которой её обнаружили. Максимальная выплата на момент запуска программы — ₽150 тысяч.
«Мы не так давно в публичном bug bounty, пока тестируем новые площадки, в будущем не исключаем повышение выплат», — ответили Хабру в компании на вопрос по поводу относительно низкой стартовой стоимости выплат.
Багхантеры при желании могут отказаться от вознаграждения в пользу благотворительности. В таком случае «Тинькофф» увеличит сумму выплаты в 5 раз и отправит её в один из надёжных благотворительных фондов на усмотрение исследователя. Список фондов указан в приложении «Тинькофф» в разделе «Благотворительность». Все невостребованные в течение года награды также будут направлены в пользу проверенных фондов.
Дмитрий Гадарь
Директор департамента информационной безопасности «Тинькофф»
«Мы рады присоединиться к платформе BI.ZONE Bug Bounty в качестве первого банка и запустить свою публичную программу. Наша экосистема быстро развивается, и мы применяем лучшие мировые практики безопасной разработки, регулярно проводим внешние аудиты защищённости наших приложений, привлекая лучшие компании на рынке безопасности. Дополнительно, чтобы подтвердить максимальный уровень защиты миллионов наших клиентов, мы готовы использовать опыт широкой аудитории исследователей в этой области, как это делают крупнейшие компании по всему миру».
BI.ZONE Bug Bounty — это хаб, связывающий бизнес и независимых исследователей безопасности. На платформе организации размещают для багхантеров программы по поиску уязвимостей. Такой подход позволяет привлечь широкий круг специалистов к поиску слабых мест в системе безопасности бизнеса.
Подробнее о правилах участия в программе по поиску уязвимостей «Тинькофф» можно прочитать на платформе BI.ZONE Bug Bounty.
Презентация BI.ZONE Bug Bounty состоялась в августе на международной конференции по практической кибербезопасности OFFZONE 2022. Публичные программы на платформе уже разместили VK, «Авито» и Ozon.
